李朝暉 武漢漢鵬房地產(chǎn)開發(fā)有限公司

一、前言

近年來，我國經(jīng)濟(jì)數(shù)字化轉(zhuǎn)型取得長足進(jìn)步，從政府到企業(yè)、從世界500強(qiáng)到小微企業(yè)，從東部發(fā)達(dá)地區(qū)到西部偏遠(yuǎn)鄉(xiāng)村，數(shù)字化已形成趨勢。在數(shù)字化給我們的生活帶來巨大好處的同時，也不可避免地帶來數(shù)據(jù)安全方面的問題，如數(shù)據(jù)非法越境、過度采集個人信息、私自販賣信息、數(shù)據(jù)庫資料泄露等。

根據(jù)風(fēng)險基礎(chǔ)安全（Risk Based Security）的數(shù)據(jù)顯示，2020年全球數(shù)據(jù)泄露達(dá)到360億條[1]！根據(jù)《2020年中國互聯(lián)網(wǎng)網(wǎng)絡(luò)安全報告》的統(tǒng)計，2020年國家互聯(lián)網(wǎng)應(yīng)急中心累計監(jiān)測并通報，國內(nèi)聯(lián)網(wǎng)信息系統(tǒng)數(shù)據(jù)庫存在安全漏洞、遭受入侵控制以及個人信息遭盜取和非法售賣等重要數(shù)據(jù)安全事件3000余起，涉及電子商務(wù)、互聯(lián)網(wǎng)企業(yè)、醫(yī)療衛(wèi)生等眾多行業(yè)機(jī)構(gòu)[2]。

筆者曾就數(shù)據(jù)安全問題做過研究，結(jié)論是：建立數(shù)據(jù)安全審計制度可以為數(shù)據(jù)安全綜合治理做出重大貢獻(xiàn)。本文將繼續(xù)對數(shù)據(jù)安全審計制度進(jìn)行研究，嘗試從審計專業(yè)角度，就如何進(jìn)行數(shù)據(jù)安全審計做一個初步探討，希望對數(shù)據(jù)安全審計研究能有所助益，不對之處，敬請專家批評指正。

二、數(shù)據(jù)安全審計流程

1.確定審計目的

審計目的是指審計工作要達(dá)到的預(yù)期目標(biāo)。

不同類型的審計工作要達(dá)到的審計目的會有所不同，就數(shù)據(jù)安全審計而言，其審計目的是對被審計單位在數(shù)據(jù)安全方面的法律合規(guī)性、內(nèi)部控制設(shè)計合理性、內(nèi)部控制實施有效性、內(nèi)部控制經(jīng)濟(jì)性進(jìn)行審計，并出具報告。

法律合規(guī)性是指，被審計單位在數(shù)據(jù)安全管理方面是否符合國家法律法規(guī)的規(guī)定。作為數(shù)據(jù)產(chǎn)生單位，不得違反《數(shù)據(jù)安全法》《個人信息保護(hù)法》《網(wǎng)絡(luò)安全審查辦法》等的規(guī)定。一些特殊行業(yè)還要遵守《汽車數(shù)據(jù)安全管理若干規(guī)定（試行）》《電子商務(wù)法》等的規(guī)定。

內(nèi)部控制設(shè)計合理性是指，被審計單位在數(shù)據(jù)安全管理的內(nèi)部控制上，控制環(huán)境如何、管理當(dāng)局是否重視、控制程序是否足夠、流程設(shè)計是否合理、是否存在控制缺陷。

內(nèi)部控制實施有效性是指，內(nèi)部控制是否一直得到執(zhí)行、流程運行是否穩(wěn)定、能否達(dá)到內(nèi)控設(shè)計的效果。

內(nèi)部控制經(jīng)濟(jì)性是指，內(nèi)部控制的投入產(chǎn)出比如何、內(nèi)控成本管理是否到位、內(nèi)控的經(jīng)濟(jì)效益和社會效益的權(quán)衡。

2.明確審計主體

審計主體是在審計活動中依法實施審計行為、行使審計監(jiān)督權(quán)的審計專職機(jī)構(gòu)及審計專業(yè)人員。

審計專職機(jī)構(gòu)一般包括：實施政府審計的國家審計機(jī)關(guān)、實施社會審計的專業(yè)機(jī)構(gòu)、實施內(nèi)部審計的內(nèi)設(shè)部門。審計專業(yè)人員可以是國家審計機(jī)關(guān)的公職人員、社會審計機(jī)構(gòu)的專業(yè)審計人員，也可以是內(nèi)設(shè)審計部門的工作人員。

政府審計主體擁有較強(qiáng)的公權(quán)力、強(qiáng)制力和示范性；社會審計主體的強(qiáng)制力較弱，但專業(yè)水準(zhǔn)高、公信力和鑒證力強(qiáng)；內(nèi)部審計主體的強(qiáng)制力和鑒證力都相對較弱，是前兩類審計主體的有益補(bǔ)充。

3.明確審計對象

審計對象是指審計主體采用各種審計手段所作用的對象，狹義的審計對象僅指被審計單位，此處指狹義的審計對象。

被審計單位具體分為三類：

①中央和地方的各級財政部門、中央銀行和國有金融機(jī)構(gòu)、各級行政機(jī)關(guān)、事業(yè)單位、國有企業(yè)等。

②各類非國有單位。

③接受內(nèi)部審計的內(nèi)設(shè)部門、下屬單位。

4.設(shè)定審計范圍

①管理當(dāng)局做出的各項決定。

管理當(dāng)局的態(tài)度對數(shù)據(jù)安全管理至關(guān)重要，管理當(dāng)局重視，則數(shù)據(jù)安全管理工作可以得到需要的資源、人員能夠得到足夠配備，數(shù)據(jù)安全管理的效果會較好。因此，管理當(dāng)局就數(shù)據(jù)安全管理做出的各種書面或口頭決定，應(yīng)納入審計范圍。

②數(shù)據(jù)安全管理制度。

被審計單位應(yīng)該建立健全數(shù)據(jù)安全管理制度，宣示數(shù)據(jù)安全的重要性，確定具體的責(zé)任部門，明確數(shù)據(jù)管理規(guī)則，強(qiáng)調(diào)違規(guī)的處罰措施等。

③內(nèi)部控制流程。

被審計單位根據(jù)《數(shù)據(jù)安全管理制度》編制的《內(nèi)部控制流程》，也是審計范圍中的重要組成部分。在《內(nèi)部控制流程》中，要規(guī)定數(shù)據(jù)流轉(zhuǎn)中的重要控制節(jié)點、各部門的職責(zé)邊界、突發(fā)情況的應(yīng)急處置等。

④人員配備與職責(zé)權(quán)限。

審計人員要審查被審計單位在數(shù)據(jù)安全方面的部門設(shè)置、人員配備、崗位職責(zé)、授權(quán)及工作權(quán)限、崗位不相容設(shè)置、人員培訓(xùn)、工作經(jīng)費保障情況。

隱匿陰莖病理解剖學(xué)改變主要為陰莖皮膚和皮下筋膜組織的發(fā)育異常[4]。陰莖皮下筋膜組織中纖維條索的形成和筋膜纖維脂肪變性，使筋膜組織僵硬，缺乏彈性，進(jìn)而固縮陰莖體。另一個病理改變是陰莖皮膚發(fā)育異常，包括陰莖皮膚與陰莖體的附著不良，以及陰莖皮膚的不對稱分布。包皮口狹窄環(huán)是內(nèi)板和外板的分界線，隱匿陰莖患者狹窄環(huán)距離陰莖根部近，導(dǎo)致內(nèi)板多、外板少的不對稱狀態(tài)。部分患者合并有蹼狀陰莖，進(jìn)而使得陰莖皮膚背側(cè)多于腹側(cè)。具體病變學(xué)特點如圖4所示。

⑤IT硬件在數(shù)據(jù)安全管理方面的配置。

IT硬件配置與數(shù)據(jù)安全直接相關(guān)，也是審計人員應(yīng)關(guān)注的方向。要關(guān)注國家對IT硬件采購的規(guī)定，對應(yīng)該采購國有設(shè)備的是否從其規(guī)定；要關(guān)注IT硬件配置是否足夠，能否滿足系統(tǒng)峰值運轉(zhuǎn)的要求；要關(guān)注CPU中是否被植入了病毒程序、木馬陷阱；要關(guān)注電源的可靠性，是否需要設(shè)置備份電源。

⑥軟件運行過程中保證數(shù)據(jù)安全的機(jī)制。

軟件運行過程中，是數(shù)據(jù)最容易泄露的地方。審計人員對于軟件要重點關(guān)注。要關(guān)注軟件是否存在Bug，是否及時補(bǔ)上了安全Bug；要關(guān)注賬號口令的設(shè)置規(guī)則，是否普遍使用弱口令；要關(guān)注各層級用戶的數(shù)據(jù)權(quán)限分配情況；要關(guān)注APP是否存在過度采集用戶信息的情況；要關(guān)注API接口會否成為新型攻擊手段的目標(biāo)；要關(guān)注數(shù)據(jù)庫系統(tǒng)的安全，進(jìn)入權(quán)限是否適當(dāng)；要關(guān)注接入互聯(lián)網(wǎng)的規(guī)則，是否存在數(shù)據(jù)非法上網(wǎng)甚至出境的情況。

⑦數(shù)據(jù)安全收支及效益等。

數(shù)據(jù)安全管理產(chǎn)生的收支、對應(yīng)的資金憑證、財務(wù)票據(jù)也是審計的范圍。各項成本的投入都應(yīng)該有所收益，要么是社會效益，要么是經(jīng)濟(jì)效益，沒有效益的支出，最終都不能長久持續(xù)。審計人員從被審計單位長遠(yuǎn)發(fā)展角度，應(yīng)關(guān)注其數(shù)據(jù)效益問題。

5.了解內(nèi)部控制制度

審計進(jìn)場后，審計人員應(yīng)了解被審計單位內(nèi)部控制制度的基本情況，并對內(nèi)部控制的有效性做出初步評價。

要了解被審計單位的控制環(huán)境?？刂骗h(huán)境（Control environment）是被審計單位管理當(dāng)局對實施某項控制政策的態(tài)度、認(rèn)識、行動方式。要了解管理當(dāng)局對數(shù)據(jù)安全是否重視、是否對數(shù)據(jù)安全管理提供了足夠的資源、是否要求其他部門配合數(shù)據(jù)安全管理的控制措施等等。

要了解被審計單位的控制程序?？刂瞥绦颍–ontrol program）是被審計單位為了實現(xiàn)某項目標(biāo)而制定的政策、流程和措施。要了解設(shè)計的數(shù)據(jù)安全管理措施是否適當(dāng)、充分。

要了解被審計單位的會計系統(tǒng)。會計系統(tǒng)（Accounting System）是對經(jīng)濟(jì)業(yè)務(wù)進(jìn)行日常處理的一整套記錄、程序和設(shè)施。要了解會計系統(tǒng)對數(shù)據(jù)管理經(jīng)濟(jì)業(yè)務(wù)的記錄是否及時、準(zhǔn)確、完整。

要了解被審計單位的業(yè)務(wù)系統(tǒng)。業(yè)務(wù)系統(tǒng)（Business System）是被審計單位為保證經(jīng)濟(jì)活動正常運轉(zhuǎn)、實現(xiàn)既定目標(biāo)而設(shè)計并運行的各類程序、措施的總和。只有準(zhǔn)確了解業(yè)務(wù)系統(tǒng)，才能分析數(shù)據(jù)安全系統(tǒng)與業(yè)務(wù)系統(tǒng)的關(guān)系，才能準(zhǔn)確評價數(shù)據(jù)安全控制措施是否充分、恰當(dāng)。

初步了解了數(shù)據(jù)安全內(nèi)部控制后，要對其實施的有效性進(jìn)行初步評價，并確定重要性水平，為明確審計程序的性質(zhì)、時間和范圍提供初步指引。

財務(wù)報表審計中，重要性水平是指用金額表示的會計信息錯報或漏報的嚴(yán)重程度。就數(shù)據(jù)安全審計而言，重要性水平是指用金額或數(shù)據(jù)量表示的數(shù)據(jù)信息錯報或漏報的嚴(yán)重程度。

例如，在數(shù)據(jù)安全審計中，可以確定重要性水平為10000元，表示可以容忍錯報金額為10000元以下的單筆數(shù)據(jù)經(jīng)濟(jì)業(yè)務(wù)或單個客戶；也可以確定重要性水平為500MB字節(jié)的數(shù)據(jù)量，表示可以容忍錯報數(shù)據(jù)量在500MB字節(jié)以下的單筆數(shù)據(jù)經(jīng)濟(jì)業(yè)務(wù)或單個客戶。

合理確定重要性水平，可以提高審計工作效率，可以有效降低審計風(fēng)險。

6.符合性測試

符合性測試是在內(nèi)部控制初步了解和評價的基礎(chǔ)上，對內(nèi)部控制制度貫徹執(zhí)行情況進(jìn)行測試，以確定被審計單位經(jīng)濟(jì)業(yè)務(wù)的運行是否符合內(nèi)部控制制度的規(guī)定，其遵循的程度有多大，進(jìn)而確定內(nèi)部控制是否值得依賴或可以依賴的程度。

審計人員要通過審計程序，進(jìn)一步了解數(shù)據(jù)安全管理制度是否得到切實遵循，有沒有集體舞弊的可能，為下一步實質(zhì)性測試做準(zhǔn)備，合理確定實質(zhì)性測試的范圍、時間和工作量。

若審計人員發(fā)現(xiàn)數(shù)據(jù)安全內(nèi)控制度形同虛設(shè)、根本沒有執(zhí)行，則可以跳過符合性測試，直接進(jìn)行實質(zhì)性測試。

7.實質(zhì)性測試

實質(zhì)性測試，是為了獲取更直接的審計證據(jù)、支撐審計報告進(jìn)行更加深入的檢查，而采取的審計程序和方法。

實質(zhì)性測試的方法主要有：

詢問。審計人員可以詢問管理當(dāng)局、中層干部、核心崗位人員，以了解數(shù)據(jù)安全內(nèi)部控制得到實際執(zhí)行的程度。

觀察。直接詢問容易引起當(dāng)事人警覺和抵觸，暗中觀察也可以得到數(shù)據(jù)安全內(nèi)部控制執(zhí)行效果的第一手資料。

檢查。審計人員通過檢查硬件系統(tǒng)、軟件系統(tǒng)，查驗業(yè)務(wù)流轉(zhuǎn)單據(jù)、發(fā)票、出入庫單、數(shù)據(jù)庫資料等，可以直接有效地發(fā)現(xiàn)錯報、漏報及舞弊的情況。

監(jiān)盤。被審計單位用于數(shù)據(jù)安全管理的核心硬件、存儲設(shè)備及介質(zhì)、客戶數(shù)量、個人信息數(shù)據(jù)庫等，都應(yīng)該被監(jiān)盤，以確定其真實性。

函證。審計人員應(yīng)當(dāng)通過函證手段，直接獲取第三方的信息，核查高于重要性水平的往來事項，以查驗被審計單位數(shù)據(jù)信息的真實性、完整性。

分析性復(fù)核。審計人員還可以復(fù)核相關(guān)數(shù)據(jù)或調(diào)取同行業(yè)平均數(shù)據(jù)，與被審計單位進(jìn)行比對，以發(fā)現(xiàn)被審計單位是否存在數(shù)據(jù)造假、數(shù)據(jù)異常的情況。

通過實質(zhì)性測試，審計人員將獲取被審計單位在數(shù)據(jù)管理方面充足的證據(jù)，為下一步撰寫審計報告打下堅實的基礎(chǔ)。

8.撰寫審計報告

審計人員通過收集到的審計證據(jù)，結(jié)合重要性水平，進(jìn)行綜合分析判斷后，應(yīng)當(dāng)形成審計意見，并撰寫審計報告。

審計報告應(yīng)當(dāng)對被審計單位在所有重大方面是否遵循了數(shù)據(jù)安全內(nèi)部控制制度，該單位數(shù)據(jù)管理達(dá)到的安全級別做出明確結(jié)論。

審計報告是對被審計單位數(shù)據(jù)安全管理的現(xiàn)狀做出的客觀公允的綜合評價，可以讓社會公眾對被審計單位在數(shù)據(jù)安全管理方面的水平有一個直觀的印象，為相關(guān)單位的經(jīng)濟(jì)決策提供科學(xué)的依據(jù)。

三、數(shù)據(jù)安全審計中需要注意的幾個問題

在數(shù)據(jù)安全審計工作中，審計人員除了嚴(yán)格遵守相關(guān)審計準(zhǔn)則、保持勤勉盡責(zé)的工作態(tài)度外，還要高度重視以下幾個問題，以避免出現(xiàn)審計失敗的情況。

1.規(guī)避審計風(fēng)險

我們知道，審計風(fēng)險=固有風(fēng)險*控制風(fēng)險*檢查風(fēng)險。固有風(fēng)險是被審計單位固有存在的錯報風(fēng)險，審計人員無法改變其風(fēng)險水平?？刂骑L(fēng)險是指被審計單位內(nèi)部控制失效的風(fēng)險。

審計人員應(yīng)當(dāng)通過對內(nèi)部控制制度的了解和符合性測試，綜合判斷固有風(fēng)險與控制風(fēng)險的大小，并據(jù)此對檢查風(fēng)險做出客觀的評估，確定可接受的檢查風(fēng)險水平?？山邮艿臋z查風(fēng)險水平與實質(zhì)性測試的工作量成反比關(guān)系。

審計人員在進(jìn)行數(shù)據(jù)安全審計過程中，無論可接受的檢查風(fēng)險水平設(shè)定為多少，都要對數(shù)據(jù)管理的重要節(jié)點、重要客戶、重大事項進(jìn)行實質(zhì)性測試，以最大程度規(guī)避審計風(fēng)險。

2.保守被審計單位的秘密

由于數(shù)據(jù)本身具有易復(fù)制、易擴(kuò)散、易泄漏的特點，審計人員應(yīng)特別注意保守被審計單位的秘密。審計主體應(yīng)與被審計單位在《審計約定書》中約定保守秘密的條款，以體現(xiàn)對被審計單位數(shù)據(jù)權(quán)益的保護(hù)。

審計人員要嚴(yán)格執(zhí)行《數(shù)據(jù)安全法》，遵守職業(yè)道德規(guī)范，保持職業(yè)操守，嚴(yán)格保管工作底稿，強(qiáng)化工作紀(jì)律，辦公電腦審慎連接互聯(lián)網(wǎng)，重要資料閱后及時歸還，特別不能擅自將數(shù)據(jù)出境。

3.借助專業(yè)人士的幫助

數(shù)據(jù)安全審計過程中，會碰到大量IT專業(yè)知識，如JAVA、SQL、技術(shù)架構(gòu)、API等，審計人員受專業(yè)限制，不一定都能掌握。此時就需要借助精通計算機(jī)知識的專業(yè)人士的幫助，這樣可以大幅提高審計工作效率，保證審計工作質(zhì)量。

借助外部專業(yè)人士的幫助時，審計人員不能撒手不管、一放了之，仍然要本著勤勉盡責(zé)的態(tài)度，對外部人士的工作加以指導(dǎo)和監(jiān)督，確保其符合審計工作的各項要求。

四、結(jié)論

當(dāng)前，數(shù)據(jù)安全審計在國內(nèi)尚未得到實質(zhì)性的推廣。從法律層面看，還沒有明確條文要求強(qiáng)制進(jìn)行數(shù)據(jù)安全審計；從會計準(zhǔn)則和審計準(zhǔn)則層面看，還沒有制訂專門針對數(shù)據(jù)安全的準(zhǔn)則；從社會層面看，除了大型頭部企業(yè)通過國外SOC審計進(jìn)行了數(shù)據(jù)安全方面的認(rèn)證外，其余市場主體因為高昂的費用，暫時無法進(jìn)行數(shù)據(jù)安全方面的審計認(rèn)證。但是，國內(nèi)數(shù)據(jù)安全審計的發(fā)展前景一片廣闊，市場規(guī)模必將迅速壯大。

本文探討了數(shù)據(jù)安全審計的流程，也思考了在審計過程中要注意的一些問題，是對數(shù)據(jù)安全審計實務(wù)工作做的初步探討，希望能拋磚引玉，吸引更多力量參與到數(shù)據(jù)安全審計的研究中來。相信隨著數(shù)據(jù)安全綜合治理的不斷推進(jìn)，國內(nèi)數(shù)據(jù)安全審計事業(yè)一定能發(fā)展得更快更好！